伊朗威脅行動者 TA455 模仿北韓駭客團隊,透過「Dream Job」活動鎖定航太產業
自 2023 年 9 月起,伊朗威脅行動者 TA455 被觀察到採用類似北韓駭客團隊的策略,透過虛假工作機會展開「Dream Job」活動,鎖定航太產業為攻擊目標。
「該活動散布了 SnailResin 惡意軟體,進而啟動 SlugResin 後門程式,」以色列網路安全公司 ClearSky 在週二的分析中指出。
TA455 同時被 Google 所屬的 Mandiant 追蹤為 UNC1549,以及由 PwC 追蹤為 Yellow Dev 13。該行動者被認為是 APT35 的一個分支,APT35 亦以 CALANQUE、Charming Kitten、CharmingCypress、ITG18、Mint Sandstorm(前稱 Phosphorus)、Newscaster、TA453 和 Yellow Garuda 等名稱為人所知。
與伊朗伊斯蘭革命衛隊(IRGC)相關的團體據稱在戰術上與被稱為 Smoke Sandstorm(前名 Bohrium)和 Crimson Sandstorm(前名 Curium)的分支存在重疊。
今年 2 月,該威脅團體被認定策劃了一系列針對航太、航空與國防產業的高精度攻擊活動,目標涵蓋中東地區,包括以色列、阿聯酋、土耳其、印度和阿爾巴尼亞。
這些攻擊採用社交工程策略,利用與工作相關的誘餌投放兩種名為 MINIBIKE 和 MINIBUS 的後門程式。企業安全公司 Proofpoint 表示,還觀察到「TA455 使用虛構公司專業地與感興趣的目標進行接觸,方式包括透過聯繫我們頁面或銷售請求進行互動。」
值得注意的是,這並非該威脅行動者首次利用與工作主題相關的誘餌進行攻擊。在其《2022 網絡威脅回顧》報告中,PwC 表示,曾偵測到 TA455 發起的一項間諜活動,攻擊者冒充真實或虛構公司的招聘人員,並在各大社交媒體平台上展開行動。
.jpg)
「Yellow Dev 13 利用多種由人工智慧(AI)生成的照片建立假身份,並在其行動中至少冒充一名真實個體,」該公司指出。
ClearSky 表示,Lazarus Group 和 TA455 所執行的兩個「Dream Job」活動之間存在多項相似之處,包括利用工作機會誘餌和 DLL 側載技術來部署惡意軟體。
這引發了兩種可能性:其一是 TA455 故意模仿北韓駭客團體的手法,以混淆歸因工作;其二則是兩者可能存在工具共享的情況。
攻擊鏈利用虛假的招聘網站(如 "careers2find[.]com")及 LinkedIn 個人檔案,分發一個包含多個檔案的 ZIP 壓縮檔案,其中包括一個可執行檔案("SignedConnection.exe")以及一個惡意的 DLL 檔案("secur32.dll")。當執行該 EXE 檔案時,惡意 DLL 檔案會被側載。
威脅行動者還向受害者提供詳細的 PDF 指南,指導他們如何從虛假的職位發布網站安全下載 ZIP 壓縮檔案並啟動應用程式。
根據微軟的說法,secur32.dll 是一種名為 SnailResin 的木馬加載器,負責加載 SlugResin,這是 BassBreaker 後門的更新版本。該後門可實現對受感染設備的遠端存取,允許威脅行動者部署更多惡意軟體、竊取憑證、提升權限,並橫向移動到網絡中的其他設備。
這些攻擊還具備一項特徵:利用 GitHub 作為「死信箱」解決方案,將實際的指揮控制(C2)伺服器地址編碼到儲存庫中。這種方法讓攻擊者得以掩蓋其惡意活動,並融入合法的網絡流量中。
ClearSky 指出:「TA455 採用精心設計的多階段感染過程,以提高成功率並降低被偵測的風險。」
初始的魚叉式網絡釣魚郵件可能包含偽裝成與工作相關的文件的惡意附件,這些附件進一步隱藏在包含合法和惡意文件的 ZIP 壓縮檔案中。這種分層策略旨在繞過安全掃描並誘使受害者執行惡意軟體。
如果您的企業也正在尋找可靠的資安解決方案,歡迎隨時聯絡蓋亞資訊,讓我們成為您資安保護與雲端整合的最佳夥伴!
